Telegram Messenger je multiplatformní šifrovaná aplikace pro zasílání rychlých zpráv, která je k dispozici v modelu freemium a je hostována v cloudu. Telegram sídlí v Dubaji a má více než 900 milionů uživatelů.
Stačí to ale?
Jistě, 75 % z nich je s jejich službami spokojeno, ale to není argument.
Vysvětlím vám, jak to funguje.
Než se začnete ptát na bezpečnost platformy, neptejte se jich samotných, protože udělají vše pro to, aby vás racionálně přesvědčili a zajistili si to "nejlepší".
Telegram používá vlastní šifrovací protokol s názvem "MTProto", MTProto používá pro symetrické šifrování algoritmus AES (Advanced Encryption Standard).
Pro zajištění integrity dat -> MTProto používá hashovací algoritmus SHA-256. Tento algoritmus vytváří 256bitový digest zprávy, který umožňuje zkontrolovat, zda data nebyla změněna.
Pro bezpečnou výměnu klíčů -> MTProto používá RSA (Rivest-Shamir-Adleman). RSA je asymetrický šifrovací algoritmus, který k zabezpečení výměny symetrických klíčů mezi stranami používá dvojici klíčů (veřejný a soukromý).
Protokoly zabezpečení komunikace -> MTProto také integruje mechanismy ochrany proti běžným útokům, jako jsou útoky typu replay nebo man-in-the-middle. Patří sem používání dočasných klíčů a protokolů pro generování klíčů.
Pokud se nyní podíváme na tyto šifrovací techniky, zjistíme, že v archivované minulosti i v současnosti bylo nalezeno více zranitelností:
-> https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-45312.
Zde je o něco podrobnější zdroj: https: //cve.netmanageit.com/cve/CVE-2023-45312.
-> Zveřejněno : 2023-10-10 21:15
Jak naznačuje kód zranitelnosti, tato konkrétní zranitelnost je nedávná.
-> CWE-94
Tento kód CWE znamená "Nesprávná kontrola generování kódu ("Code Injection")".
A jedná se o součást zranitelnosti závažné úrovně.
Telegram provádí několik aktualizací svého protokolu, ale to nestačí, protože to, co je zašifrováno, je dešifrovatelné a vždy bude existovat zranitelnost.
Tady se zastavím, protože jinak bych musel napsat několik odstavců o šifrovacím algoritmu Telegramu.
Pokud chcete používat lepší šifrované zprávy pro cokoli jiného, použijte keybase, nebo pokud chcete bezpodmínečně používat telegram, zašifrujte si obsah sami.
Stačí to ale?
Jistě, 75 % z nich je s jejich službami spokojeno, ale to není argument.
Vysvětlím vám, jak to funguje.
Než se začnete ptát na bezpečnost platformy, neptejte se jich samotných, protože udělají vše pro to, aby vás racionálně přesvědčili a zajistili si to "nejlepší".
Telegram používá vlastní šifrovací protokol s názvem "MTProto", MTProto používá pro symetrické šifrování algoritmus AES (Advanced Encryption Standard).
Pro zajištění integrity dat -> MTProto používá hashovací algoritmus SHA-256. Tento algoritmus vytváří 256bitový digest zprávy, který umožňuje zkontrolovat, zda data nebyla změněna.
Pro bezpečnou výměnu klíčů -> MTProto používá RSA (Rivest-Shamir-Adleman). RSA je asymetrický šifrovací algoritmus, který k zabezpečení výměny symetrických klíčů mezi stranami používá dvojici klíčů (veřejný a soukromý).
Protokoly zabezpečení komunikace -> MTProto také integruje mechanismy ochrany proti běžným útokům, jako jsou útoky typu replay nebo man-in-the-middle. Patří sem používání dočasných klíčů a protokolů pro generování klíčů.
Pokud se nyní podíváme na tyto šifrovací techniky, zjistíme, že v archivované minulosti i v současnosti bylo nalezeno více zranitelností:
-> https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-45312.
Zde je o něco podrobnější zdroj: https: //cve.netmanageit.com/cve/CVE-2023-45312.
-> Zveřejněno : 2023-10-10 21:15
Jak naznačuje kód zranitelnosti, tato konkrétní zranitelnost je nedávná.
-> CWE-94
Tento kód CWE znamená "Nesprávná kontrola generování kódu ("Code Injection")".
A jedná se o součást zranitelnosti závažné úrovně.
Telegram provádí několik aktualizací svého protokolu, ale to nestačí, protože to, co je zašifrováno, je dešifrovatelné a vždy bude existovat zranitelnost.
Tady se zastavím, protože jinak bych musel napsat několik odstavců o šifrovacím algoritmu Telegramu.
Pokud chcete používat lepší šifrované zprávy pro cokoli jiného, použijte keybase, nebo pokud chcete bezpodmínečně používat telegram, zašifrujte si obsah sami.
